Co je Azure AD Identity Governance?

Azure Active Directory (Azure AD) Identity Governance umožňuje vyvážit potřebu zabezpečení a produktivity zaměstnanců ve vaší organizaci se správnými procesy a viditelností. Poskytuje funkce, které zajistí, aby k správným prostředkům měli správný přístup. Tyto a související funkce Azure AD a Enterprise Mobility + Security umožňují zmírnit rizika přístupu tím, že chrání, monitorují a auditují přístup k důležitým prostředkům a zajišťují produktivitu zaměstnanců a obchodních partnerů.

Zásady správného řízení identit poskytují organizacím možnost provádět následující úlohy napříč zaměstnanci, obchodními partnery a dodavateli a službami a aplikacemi v místním prostředí i v cloudech:

  • Řízení životního cyklu identit
  • Řízení životního cyklu přístupu
  • Zabezpečení privilegovaného přístupu pro správu

Konkrétně je určený k tomu, aby organizacím pomohl těmto čtyřem klíčovým otázkám pomoct:

  • Kteří uživatelé by měli mít přístup ke kterým prostředkům?
  • Co tito uživatelé s tímto přístupem dělají?
  • Existují efektivní organizační ovládací prvky pro správu přístupu?
  • Mohou auditoři ověřit, že ovládací prvky fungují?

Životní cyklus identit

Zásady správného řízení identit pomáhají organizacím dosáhnout rovnováhy mezi produktivitou – jak rychle může mít osoba přístup k prostředkům, které potřebují, například když se připojí k mé organizaci? A zabezpečení – jak by se měl jejich přístup v průběhu času měnit, například kvůli změnám pracovního stavu této osoby? Správa životního cyklu identit je základem zásad správného řízení identit a efektivní zásady správného řízení ve velkém měřítku vyžadují modernizaci infrastruktury správy životního cyklu identit pro aplikace.

Životní cyklus identit

Pro mnoho organizací je životní cyklus identit pro zaměstnance svázán s reprezentací tohoto uživatele v systému HCM (řízení lidského majetku). Azure AD Premium automaticky udržuje identity uživatelů pro osoby reprezentované ve Workday Azure Active Directory SuccessFactors ve službě Active Directory Azure Active Directory v Azure Active Directory, jak je popsáno v průvodci plánováním zřizování uživatelů v cloudové aplikaci personálního oddělení. Azure AD Premium také Microsoft Identity Manager, který může importovat záznamy z místních systémů HCM, jako jsou SAP HCM, Oracle eBusiness a Oracle PeopleSoft.

Scénáře stále častěji vyžadují spolupráci s lidmi mimo vaši organizaci. Spolupráce B2B ve službě Azure AD umožňuje bezpečně sdílet aplikace a služby vaší organizace s uživateli hosta a externími partnery z jakékoli organizace a přitom si zachovat kontrolu nad vlastními firemními daty. Správa nároků Azure AD umožňuje vybrat, kteří uživatelé organizace mohou požádat o přístup, a přidat je jako hosty B2B do adresáře vaší organizace a zajistit, aby tito hosté byli odebraní, když už přístup nepotřebuje.

Životní cyklus přístupu

Organizace potřebují proces pro správu přístupu nad rámec toho, co bylo pro uživatele původně zřízeno při vytvoření identity tohoto uživatele. Kromě toho musí mít podnikové organizace možnost efektivního škálování, aby bylo možné průběžně vyvíjet a vynucovat zásady přístupu a kontroly.

Životní cyklus přístupu

IT obvykle deleguje rozhodnutí o schválení přístupu na obchodní partnery s rozhodovací pravomocí. IT může zahrnovat také samotné uživatele. Například uživatelé, kteří přistupují k důvěrným zákaznickým datům v marketingové aplikaci společnosti v Evropě, potřebují znát zásady společnosti. Uživatelé hosta nemusí mít přehled o požadavcích na zpracování dat v organizaci, do které byli pozváni.

Organizace mohou automatizovat proces životního cyklu přístupu prostřednictvím technologií, jako jsou dynamické skupiny,spolu se zřizováním uživatelů pro aplikace SaaS nebo aplikace integrované s SCIM. Organizace mohou také řídit, kteří uživatelé hosta mají přístup k místním aplikacím. Tato přístupová práva je pak možné pravidelně kontrolovat pomocí opakovaných kontrol přístupu Azure AD. Správa nároků Azure AD také umožňuje definovat, jak uživatelé žádají o přístup napříč balíčky členství ve skupinách a týmech, aplikačními rolemi a SharePoint Online.

Když se uživatel pokusí o přístup k aplikacím, Azure AD vynucuje zásady podmíněného přístupu. Zásady podmíněného přístupu mohou například zahrnovat zobrazení podmínek použití a zajištění, že uživatel s těmito podmínkami souhlasí, než bude mít přístup k aplikaci.

Životní cyklus privilegovaného přístupu

Privilegovaný přístup dříve popsali jiní dodavatelé jako samostatnou funkci od zásad správného řízení identit. V Microsoftu si ale myslíme, že řízení privilegovaného přístupu je klíčovou součástí zásad správného řízení identit – zejména vzhledem k potenciálnímu zneužití spojenému s těmito právy správce může organizaci způsobit. Zaměstnanci, dodavatelé a dodavatelé, kteří přechádují práva správce, musí být řízeni.

Životní cyklus privilegovaného přístupu

Azure AD Privileged Identity Management (PIM) poskytuje další ovládací prvky přizpůsobené zabezpečení přístupových práv k prostředkům v rámci Azure AD, Azure a dalších online služeb Microsoftu. Přístup za běhu a možnosti upozornění na změnu role, které poskytuje Azure AD PIM, kromě vícefaktorového ověřování a podmíněného přístupu poskytují komplexní sadu ovládacích prvků zásad správného řízení, které vám pomůžou zabezpečit prostředky vaší společnosti (adresář, Microsoft 365 a role prostředků Azure). Stejně jako u jiných forem přístupu mohou organizace používat rešerše přístupu ke konfiguraci opakovaného přeučování přístupu pro všechny uživatele v rolích správce.

Možnosti zásad správného řízení v jiných funkcích Azure AD

Kromě výše uvedených funkcí se k zajištění scénářů zásad správného řízení identit často používají další funkce Azure AD:

Schopnost Scenario Funkce
Životní cyklus identity (zaměstnanci) Správci mohou povolit zřizování uživatelských účtů z cloudového personálního oddělení Workday nebo SuccessFactors nebo z místního personálního oddělení. zřizování hr na cloud pro uživatele Azure AD
Životní cyklus identity (hosté) Správci mohou povolit samoobslužné onboarding uživatelů hosta z jiného tenanta Azure AD, přímé federace, jednorázových kódů (OTP) nebo účtů Google. Uživatelé hosta se automaticky zřžují a odřažují podle zásad životního cyklu. Správa nároků pomocí B2B
Správa nároků Vlastníci prostředků mohou vytvářet přístupové balíčky obsahující aplikace, Teams, Azure AD a Microsoft 365 skupiny a SharePoint Online. Správa nároků
Žádosti o přístup Koncoví uživatelé mohou požádat o členství ve skupině nebo přístup k aplikacím. Koncoví uživatelé, včetně hostů z jiných organizací, mohou požádat o přístup k balíčkům. Správa nároků
Pracovní postup Vlastníci prostředků mohou definovat schvalovatelů a schvalovatelů eskalace pro žádosti o přístup a schvalovateče žádostí o aktivaci role. Správa nároků a PIM
Správa zásad a rolí Správce může definovat zásady podmíněného přístupu pro přístup k aplikacím za běhu. Vlastníci prostředků mohou definovat zásady pro přístup uživatelů prostřednictvím přístupových balíčků. Zásady podmíněného přístupu a správy nároků
Certifikace přístupu Správci mohou povolit opakovanou opakovanou certifikaci přístupu pro: aplikace SaaS nebo členství ve skupinách cloudu, Azure AD nebo přiřazení rolí prostředků Azure. Automaticky odeberte přístup k prostředkům, zablokujte přístup hostů a odstraňte účty hostů. Recenze přístupu, které se také prochytá v PIM
Plnění a zřizování Automatické zřizování a zrušení zřizování v aplikacích připojených k Azure AD, včetně prostřednictvím SCIM a SharePoint online. zřizování uživatelů
Vytváření sestav a analýzy Správci mohou načíst protokoly auditu nedávné aktivity zřizování a přihlašování uživatelů. Integrace s Azure Monitor a "kdo má přístup" prostřednictvím přístupových balíčků. Sestavy a monitorování Azure AD
Privilegovaný přístup Přístup za běhu a plánovaný přístup, upozornění, schvalovací pracovní postupy pro role Azure AD (včetně vlastních rolí) a role prostředků Azure Azure AD PIM
Auditování Správci mohou být upozorněni na vytvoření účtů správce. Upozornění Azure AD PIM

Začínáme

Pokud chcete začít používat správu nároků, kontroly přístupu, Privileged Identity Management a Podmínky použití, podívejte se na kartu Začínáme v části Zásady Azure Portal identit v Podmínky použití.

Začínáme se zásadou správného řízení identit

Pokud máte nějaké připomínky k funkcím zásad správného řízení identit, na Azure Portal váš názor. Tým vaši zpětnou vazbu pravidelně kontroluje.

I když neexistuje žádné dokonalé řešení nebo doporučení pro každého zákazníka, následující průvodci konfigurací také poskytují základní zásady, které Microsoft doporučuje dodržovat, abyste zajistili vyšší zabezpečení a vyšší produktivitu pracovníků.

Příloha – role s nejmenšími oprávněními pro správu ve funkcích zásad správného řízení identit

Osvědčeným postupem je používat k provádění úloh správy v rámci zásad správného řízení identit roli s nejmenšími oprávněními. K aktivaci role podle potřeby doporučujeme použít Azure AD PIM. Tady jsou role adresáře s nejmenšími oprávněními pro konfiguraci funkcí zásad správného řízení identit:

Funkce Role s nejmenšími oprávněními
Správa nároků Správce zásad správného řízení identit
Kontroly přístupu Správce uživatelů (s výjimkou recenzí přístupu pro role Azure nebo Azure AD, které vyžadují Správce privilegovaných rolí)
Privileged Identity Management Správce privilegovaných rolí
Podmínky použití Správce zabezpečení nebo Správce podmíněného přístupu

Poznámka

Role s nejmenšími oprávněními pro správu nároků se změnila z role Správce uživatelů na roli Správce zásad správného řízení identit.

Další kroky